 |
Emploi
|
|
Start-up
|
|
Evénements 01 | |
Avis d'expert | |
Vidéos | |
Indicateurs
|
|
Distribution
|
|
Telecharger Pro
|
|
Livres blancs | |||||||||||||||||||||
Failles critiques dans Adobe Reader : désactivez Javascript !
par mail
l'article
Deux failles ont été trouvées dans Acrobat Reader, le célèbre lecteur de PDF d'Adobe. Classées « hautement critique » par le site de veille sécuritaire Secunia, elles sont liées à deux fonctions Javascript : spell.customDictionaryOpen et getAnnots. Utilisées dans un document PDF, elles permettraient à une personne malintentionnée d'exécuter du code arbitraire à distance sur une machine après l'ouverture du fichier.
Ces deux brèches ont été détectées par un hacker nommé Arr1val, qui en livre la preuve sur le Web (ici et ici). Elles affecteraient toutes les versions récentes d'Acrobat Reader, de la 7.1 à la 9.1. Tous les systèmes sont touchés, aussi bien Linux que Windows et Mac.
Pour l'instant, il n'existe aucun patch qui permette de corriger ces deux failles. L'éditeur planche sur le sujet. En attendant, il recommande de désactiver la fonction Javascript dans le lecteur. Pour cela, il faut aller dans les menus suivants : Edition > Préférences > Javascript. Une autre solution est de désinstaller Acrobat Reader et de le remplacer par un logiciel alternatif tel que Foxit Reader. D'autres lecteurs de PDF sont listés sur le site PDFreaders.org.
Un logiciel à proscrire en entreprise
Hasard du calendrier, ces deux nouvelles failles ont été découvertes à peine une semaine après la conférence RSA, au cours de laquelle l'utilisation d'Adobe Reader en entreprise avait été sévèrement remise en question par Mikko Hypponen, le directeur des laboratoires de recherche de l'éditeur F-Secure. Ce dernier recommande de proscrire ce logiciel en environnement professionnel, car il est trop souvent sujet à des failles de sécurité. La preuve.
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM